Wer Betroffenenrechte wahrnimmt, darf deshalb nicht benachteiligt werden. Trotzdem mag es Fälle geben, in denen man sich gerade im Beschäftigungsverhältnis nicht selbst bei der Datenschutzaufsicht beschweren kann. Da liegt es nahe, bei der Mitarbeitervertretung um Hilfe zu bitten. Oder es gibt allgemeine Datenschutzmängel, die einzelne Betroffene nicht als Beschwerde einreichen können. Damit stellt sich die Frage: Darf sich eine MAV bei der Datenschutzaufsicht beschweren?
Die einfache Antwort ist: Beschweren kann man sich immer. Nur ist eine Beschwerde noch lange keine Beschwerde im datenschutzrechtlichen Sinn. Ein Blick in die kirchlichen Datenschutzgesetze zeigt, welche Optionen MAVen und (nicht nur) Beschäftigte haben.
Auch nach der Reform der katholischen Grundordnung des kirchlichen Dienstes bleibt der Kirchenaustritt von Katholik*innen ein Kündigungsgrund. Ob das rechtens ist, entscheidet wohl bald der EuGH. Mindestens bis dahin stellt sich die Frage, wie kirchliche Arbeitgeber überhaupt vom Kirchenaustritt erfahren – und ob sie ihr Wissen verwenden dürfen.
Vorhanden sind die Daten zur Kirchenmitgliedschaft in jedem Unternehmen: In der Lohnbuchhaltung liegen die vom Finanzamt übermittelten Daten zur Kirchensteuer vor. In einem Gastbeitrag befasst sich der Leiter der KDSA Ost Matthias Ullrich damit, ob diese Daten in kirchlichen Arbeitsverhältnissen dazu genutzt werden dürfen, um Kirchenaustritte arbeitsrechtlich zu sanktionieren.
Auf dem Papier sieht gemeinsame Verantwortlichkeit sehr einfach aus: »Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche«, heißt es in Art. 26 DSGVO, die entsprechenden Normen im KDG und im DSG-EKD sind fast gleichlautend. Nur: Was passiert, wenn die gemeinsamen Verantwortlichen unterschiedlichen Gesetzen unterliegen, also etwa DSGVO und KDG oder KDG und DSG-EKD?
In der aktuellen Ausgabe des Datenschutz-Berater habe ich mich mit dieser Frage beschäftigt: »Verschiedene Gesetze, gemeinsame Verantwortlichkeit – eine ungeklärte Frage im kirchlichen Datenschutz«. Vieles muss dabei vage bleiben, solange Aufsichten und Gerichte sich dazu nicht äußern. Aber immerhin habe ich Strategien entworfen, wie man damit umgehen kann. Hier veröffentliche ich das Fazit und eine Synopse, den vollständigen Artikel gibt es im Heft.
Wer im eigenen Kommunikations-Mix eine Facebook-Fanseite hat, muss jederzeit damit rechnen, dass bald keine Facebook-Fanseite mehr im Mix ist: Einhellig gehen die Datenschutzaufsichten davon aus, dass Fanpages nicht rechtskonform zu betreiben sind. Der Bundesdatenschutzbeauftragte und die sächsische Landesdatenschutzbeauftragte haben Bescheide gegen die Betreiber der Fanpages der Bundesregierung und der sächsischen Landesregierung erlassen, beide Regierungen haben geklagt – und am Ende könnten Musterurteile stehen, auf deren Grundlage die Datenschutzaufsichten durchgreifen.
Die Musterverfahren können sich über Jahre hinziehen. Bis dahin ist die Rechtswidrigkeit in der Schwebe. Doch schon vorher kann jederzeit das Aus kommen: Auch wenn sich die Aufsichten – kirchliche wie staatliche – zurückhalten und nicht initiativ tätig werden. Auf eine Beschwerde hin müssen sie tätig werden – und dann droht eine »Untersagung der Verarbeitung«. Vulgo: Die Anweisung, abzuschalten. Für diesen Fall sollte man vorsorgen, sich eine Facbeook-Exit-Option und einen Plan B für die Kommunikation überlegen. Der große Vorteil von diesen Strategien: Nicht nur für den Fall der Fälle geht man auf Nummer sicher. Die Maßnahmen machen schon jetzt die eigene Social-Strategie besser und stärker.
(Und auch wenn Facebook-Fanpages im Fokus der Aufmerksamkeit stehen: Ex-Twitter, Instagram, WhatsApp, TikTok und viele weitere Dienste können bei einer Beschwerde auch ganz schnell aus dem Mix herausgekegelt werden.)
Sowohl das KDG als auch das DSG-EKD haben in ihrem Kapitel zu Vorschriften für besondere Verarbeitungssituationen eigene Normen für die Verarbeitung personenbezogener Daten in Beschäftigungsverhältnissen. § 49 DSG-EKD und § 53 KDG sind sichtlich § 26 BDSG nachgebildet – allerdings mit einigen Unterschieden.
Die verschiedenen Gesetzgeber haben dabei sehr unterschiedliche Strategien verfolgt, wie stark und wo kirchliche Besonderheiten berücksichtigt werden. Die kirchlichen Regeln haben zwar jeweils ihre Lücken und Probleme – insgesamt dürften sie aber zukunftssicherer sein als ihr BDSG-Pendant.
Knapp drei Jahre nach Schrems II und dem damit erwirkten Aus für das EU–US Privacy Shield gibt es wieder eine Rechtsgrundlage für die einfache Übertragung von personenbezogenen Daten in die USA: Am Montag teilte die EU-Kommission mit, dass sie einen Angemessenheitsbeschluss für den neuen »Datenschutzrahmen EU-USA« (»EU-US Data Privacy Framework«) getroffen hat, der am Dienstag, 11. Juli, in Kraft tritt.
Angemessenheitsbeschlüsse können grundsätzlich auch im Geltungsbereich der kirchlichen Datenschutzgesetze angewandt werden. Die ausführliche FAQ-Liste von Thomas Schwenke oder der Angemessenheitsbeschluss selbst können grundsätzlich für Datenübertragungen gemäß KDG und DSG-EKD herangezogen werden. Dennoch gibt es einige Besonderheiten in beiden Gesetzen.
Bei der vom BfD EKD in seinem neuen Tätigkeitsbericht aufgrund umfangreicher Datenabfrage bei der Intranet-Registrierung bemängelten Landeskirche handelt es sich wie schon vermutet um die EKBO. Auf Anfrage bestätigte eine Sprecherin, dass man davon ausgehe, dass sich der Bericht auf ihre Landeskirche beziehe. Das EKBO-Intranet ist unter der URL info-gemeinsam.ekbo.de erreichbar. Eine Sprecherin der EKiR teilte dagegen mit, dass ihr – augenscheinlich auf derselben Software basierendes – Intranet nicht im Tätigkeitsbericht erwähnt wird.
Häufig ist bei rechtlich selbständigen kirchlichen Stellen ein reger Datenaustausch zu verzeichnen. Zum Teil kooperieren diese Stellen entweder eng miteinander oder sind gar in einer Konzernstruktur verbunden. Das »kleine Konzernprivileg« kann hier nur sehr bedingt eingesetzt werden. Diese Verarbeitungen müssen daher einer differenzierten datenschutzrechtlichen Betrachtung unterzogen und, wo nötig, vertraglich geregelt werden.
Kooperationen sind im kirchlichen Umfeld fester Bestandteil der Arbeitswelt. Neben Einrichtungen des Gesundheits- und Sozialwesens übernehmen auch in der verfassten Kirche verschiedene Stellen Aufgaben für andere (z. B. Dekanate, kreiskirchliche Verwaltungsämter, Regionalzentren).
Damit geht meist eine Datenverarbeitung einher, für die je nach Konstellation vertragliche Regelungen erforderlich werden. Unumgänglich ist es, die Rechtsgrundlage für den Datenaustausch und die Verantwortlichkeit für die Verarbeitung personenbezogener Daten zu klären. Denn nur so ist eine (haftungs-)rechtliche Absicherung und die Erfüllung aller Pflichten der verantwortlichen Stellen möglich.
Kirchliche und kirchennahe Einrichtungen, Träger und Vereine unterliegen in Deutschland kirchlichen Datenschutzgesetzen – jedenfalls bei einer Zugehörigkeit zu den Kirchen, die gemäß Art. 91 DSGVO eigenes Datenschutzrecht anwenden. So weit, so einfach?
In der Praxis zeigt sich regelmäßig, dass die Beantwortung dieser Fragestellung weitaus komplexer ist, als es auf den ersten Blick erscheint. Häufig kann selbst die verantwortliche Stelle nur schwer beurteilen, ob sie dem kirchlichen Datenschutz unterliegt oder nicht und fragt folgerichtig Ihren Datenschutzbeauftragten um Rat. Bisweilen landet die Frage nach der Zuordnung sogar vor staatlichen Gerichten: Dem OLG Hamm zufolge findet das kirchliche Datenschutzrecht Anwendung und nicht die DSGVO, wenn die Datenverarbeitung im Kernbereich karitativer Tätigkeit betroffen ist.
Trotzdem bleibt ein Unbehagen beim Gedanken daran zurück, dass Mitarbeitende von kirchlichen Einrichtungen ganz legal gekündigt werden konnten, wenn der Dienstgeber mitbekommt, dass diese Mitarbeitenden homosexuell sind. Im weltlichen Bereich würde ein solches Vorgehen einen Skandal und einen Verstoß sowohl gegen das Allgemeine Gleichbehandlungsgesetz (AGG) als auch den Datenschutz darstellen. An dieser Stelle soll deshalb die Frage aufgeworfen werden, weshalb das kirchliche Datenschutzrecht solche Handlungen und die zugrundeliegende Datenverarbeitung überhaupt erlaubt hat.